Eine ausgeklügelte Phishing-Kampagne über Google Ads bedroht derzeit tausende Geschäftsinhaber in Deutschland und weltweit. Sicherheitsforscher entdeckten am Donnerstag eine betrügerische Werbeanzeige, die bei der Suche nach dem Begriff „my business“ erscheint – ein typischer Einstiegspunkt für Unternehmer, die ihren Google-Eintrag verwalten wollen.
Die gefälschte Anzeige war bereits ab 12:20 Uhr MEZ aktiv und leitete Nutzer auf eine manipulierte Login-Seite weiter. Ziel der Angreifer: die Zugangsdaten der Geschäftskonten abzugreifen. Der Cybersicherheitsexperte Dan Foland, der die Kampagne aufdeckte, warnt, dass die Anzeige auch Stunden nach der Entdeckung noch aktiv war.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken und CEO-Fraud schützen kann. Anti-Phishing-Leitfaden für Unternehmen jetzt gratis herunterladen
Gefahr erkannt, Gefahr gebannt?
Die Masche ist perfide: Die Anzeige tarnt sich als offizieller Google-Dienst und lockt mit dem vertrauten Design der Suchmaschine. Wer darauf klickt, landet jedoch auf einer täuschend echten Nachbildung der Anmeldeseite. Experten raten dringend, keine Werbeanzeigen für Verwaltungsdienste anzuklicken. Stattdessen sollten Nutzer die offizielle Website direkt aufrufen oder gespeicherte Lesezeichen verwenden.
Doch die Bedrohungslage ist breiter. Am selben Tag entdeckten Sicherheitsanalysten eine weitere Phishing-Operation, die speziell Chrome-Entwickler ins Visier nimmt. Die Angreifer verschicken gefälschte DMCA-Urheberrechtsbeschwerden von der Domain dmca-chrome-extensions[.]click. Entwickler werden aufgefordert, sich auf einer gefälschten Login-Seite anzumelden – die wiederum echte Erweiterungsdaten verwendet, um besonders vertrauenswürdig zu wirken.
FBI warnt vor Microsoft-365-Lücke
Parallel dazu schlägt das FBI Alarm: Eine rasant wachsende Betrugswelle zielt auf Microsoft-365-Anwendungen wie Outlook, Teams und OneDrive ab. Besonders tückisch: Die Angreifer missbrauchen ein legitimes Microsoft-Anmeldesystem, um ohne Passwort auf die Konten zuzugreifen. Für Unternehmen bedeutet das ein enormes Risiko – sensible Geschäftsdaten könnten im Handumdrehen kompromittiert sein.
WM 2026: Das große Geschäft mit der Begeisterung
Die Sicherheitslage spitzt sich weiter zu. FortiGuard Labs hat einen alarmierenden Anstieg bösartiger Aktivitäten im Zusammenhang mit der FIFA-Weltmeisterschaft 2026 registriert, die am 11. Juni beginnt. Zwischen Januar und Mai 2026 wurden über 13.000 turnierbezogene Domains registriert – rund 8,8 Prozent davon sind nachweislich schädlich.
Die Palette der Betrugsmaschen ist breit: gefälschte Ticketverkäufe, betrügerische Jobangebote und sogenannte „Stealer Logs“ – Schadsoftware, die Zugangsdaten stiehlt. Bereits jetzt sind über 270.000 Fan-Zugänge und rund 260 FIFA-Mitarbeiterkonten kompromittiert. Die Täter nutzen die allgemeine Euphorie rund um das Turnier schamlos aus.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen bei KI und Datenschutz erfüllen. Kostenloses Cyber-Security E-Book sichern
KI als Waffe der Hacker
Die Berichtsperiode offenbarte zudem Schwachstellen in automatisierten Supportsystemen. Am Donnerstag wurde bekannt, dass ein KI-Support-Bot von Meta zuvor unbefugten Zugriff auf Instagram-Konten ermöglicht hatte – indem er Änderungen an hinterlegten E-Mail-Adressen erlaubte. Betroffen waren unter anderem hochrangige Regierungsprofile und Unternehmensmarken. Meta hat inzwischen einen Notfall-Patch veröffentlicht.
Noch beunruhigender: Staatlich unterstützte Hackergruppen setzen zunehmend auf generative KI. Die als GREYVIBE bekannte Gruppierung nutzt Berichten zufolge Plattformen wie ChatGPT und Google Gemini, um Phishing-Kampagnen zu automatisieren und Schadsoftware zu entwickeln – mit besonderem Fokus auf Ziele in der Ukraine.
Die Kosten der Nachlässigkeit
Die wirtschaftlichen Folgen sind enorm. Branchendaten zeigen, dass die durchschnittlichen Kosten einer Datenpanne, die auf Phishing zurückgeht, bei umgerechnet rund 4,1 Millionen Euro liegen. Für deutsche Unternehmen, die oft weniger stark in Cybersicherheit investieren als ihre US-Pendants, könnte die Rechnung noch höher ausfallen.
Sicherheitsexperten empfehlen einen Dreiklang aus Schutzmaßnahmen: die Multi-Faktor-Authentifizierung (MFA) , leistungsstarke E-Mail-Filter und regelmäßige Schulungen der Mitarbeiter zum sicheren digitalen Verhalten. Denn eines zeigt die aktuelle Bedrohungslage deutlich: Die Angreifer werden immer raffinierter – und der menschliche Faktor bleibt die größte Schwachstelle.
